Οι ερευνητές της Cyble δήλωσαν ότι πολλές εκδόσεις των προϊόντων Fortinet έχουν επηρεαστεί από μια παράκαμψη ελέγχου ταυτότητας με χρήση εναλλακτικού path ή channel. Αυτή η ευπάθεια επηρεάζει τα FortiOS, FortiProxy και FortiSwitchManager. Κατά τη διάρκεια της παρακολούθησης ρουτίνας, οι ερευνητές της Cyble παρατήρησαν έναν χάκερ να διανέμει πολλαπλή μη εξουσιοδοτημένη πρόσβαση στο Fortinet VPN σε ένα από τα ρωσικά φόρουμ για το έγκλημα στον κυβερνοχώρο.
Δείτε επίσης: Η Interpol κατέσχεσε 130 εκατομμύρια από κυβερνοεγκληματίες
Κατά την ανάλυση των δεδομένων, ανακάλυψε ότι ο επιτιθέμενος προσπαθούσε να προσθέσει το δικό του δημόσιο κλειδί σε έναν λογαριασμό διαχειριστή. Επίσης η εταιρεία συνέχισε λέγοντας: “Από ό,τι μπορούμε να πούμε από την έρευνά μας και τις πληροφορίες που συγκεντρώσαμε, φαίνεται ότι οι οργανισμοί που αποτέλεσαν στόχο χρησιμοποιούσαν το outdated FortiOS. Ως εκ τούτου, με μεγάλη σιγουριά, συμπεραίνουμε ότι ο απειλητικός παράγοντας πίσω από αυτήν την πώληση εκμεταλλεύτηκε το CVE-2022-40684.”
Το CVE-2022-40684 είναι μια ευπάθεια ασφαλείας που επιτρέπει την παράκαμψη του ελέγχου ταυτότητας που χρησιμοποιεί μια εναλλακτική διαδρομή ή κανάλι στην έκδοση Fortinet FortiOS 7.2.0 έως 7.2.1 και 7.0.0 έως 7.0.6, έκδοση FortiProxy 7.2.0 και έκδοση 7.0.0 έως 7.0.6 και έκδοση FortiSwitchManager 7.2.0 και 7.0. 0. Το κενό επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί λειτουργίες στο administrative interface μέσω ειδικά διαμορφωμένων αιτημάτων HTTP ή HTTPS.
Δείτε επίσης: Οι χάκερ έχουν επικεντρωθεί στις πετρελαϊκές εταιρείες
Ενημερώνοντας ή προσθέτοντας ένα έγκυρο δημόσιο κλειδί SSH σε έναν στοχευμένο λογαριασμό σε ένα σύστημα και στη συνέχεια μπορεί να αποκτήσει πλήρη πρόσβαση σε αυτό το σύστημα. Επιπλέον, ο χάκερ θα μπορούσε να εξαπολύσει πρόσθετες επιθέσεις εναντίον του υπόλοιπου περιβάλλοντος πληροφορικής με το foothold και τη γνώση που απέκτησε μέσω του exploiting αυτής της ευπάθειας.
Επιπλέον, οι ερευνητές της Cyble ανακάλυψαν ότι υπάρχουν 100 χιλιάδες FortiGate firewalls που είναι ορατά στο διαδίκτυο και τα οποία θα μπορούσαν να αποτελέσουν στόχο επιτιθέμενων, εάν οι συσκευές αυτές δεν έχουν εγκαταστήσει τις κατάλληλες διορθώσεις.
Ένας κακόβουλος εισβολέας μπορεί να χρησιμοποιήσει την ευπάθεια για να θέσει σε κίνδυνο ένα σύστημα περαιτέρω, τροποποιώντας τα κλειδιά SSH των διαχειριστών χρηστών, ώστε να μπορούν να συνδεθούν οι ίδιοι, να προσθέσουν νέους τοπικούς χρήστες και να ενημερώσουν τις ρυθμίσεις δικτύου. Μπορούν επίσης να κατεβάσουν τη διαμόρφωση του συστήματος, να ξεκινήσουν καταγραφές πακέτων και να διανείμουν τις συγκεντρωμένες πληροφορίες στο dark web.
Δείτε επίσης: Συνελήφθησαν 14 χάκερ για spam σε 115 govt sites με διαφημίσεις gambling
Οι χάκερς χρησιμοποιούν συνεχώς γνωστές και πρόσφατα ανακαλυφθείσες αδυναμίες για να διανέμουν πρόσβαση και διαρροές στο dark web και σε φόρουμ κυβερνοεγκλήματος. Σύμφωνα με τους ερευνητές, αυτή η αρχική πρόσβαση που δίνεται στο dark web παίζει σημαντικό ρόλο σε επιθέσεις μεγάλης κλίμακας. Ως εκ τούτου, η παρακολούθηση τόσο του dark web όσο και των εγκληματικών φόρουμ θα πρέπει να αποτελεί βασικό στοιχείο της στρατηγικής ασφάλειας κάθε οργανισμού.
Η δημοσίευση συνιστά στους οργανισμούς να ενημερώνουν τυχόν επηρεαζόμενα προϊόντα με την τελευταία ενημερωμένη έκδοση από τον επίσημο προμηθευτή, να τμηματοποιούν κατάλληλα το δίκτυό τους για να εμποδίζουν τους επιτιθέμενους να κινούνται πλευρικά και να διατηρούν κρίσιμα asset πίσω από τείχη προστασίας που είναι ρυθμισμένα και ενημερωμένα.
Πηγή πληροφοριών: industrialcyber.co
